Массовый взлом сайтов на Joostina - Безопасность сайтов на Joomla

Написал сообщение на «родном» форуме Joostina, но потом подумал, что возможно здесь тоже не помешает написать, поскольку активность здесь побольше. Прошу прощения за подобное дублирование, но повод довольно важный и срочный. Суть в следующем...

У меня осталось немалое количество сайтов на Joostina, которые достаточно статичны и не требуют особого участия и модернизации (обычные контентные сайты). До поры до времени все было хорошо, но вот недавно Яндекс.Вебмастер стал слать сообщения с темой «На сайте обнаружен потенциально опасный код» все для большего числа этих сайтов. Последствия самые неприятные — сайт выпадает из индекса, выводится пометка «Этот сайт может угрожать безопасности вашего компьютера» и т.п.

Причем заражению одинаково подвержены как сайты на Joostina 1.1.3, так и на 1.3.0.5.
Пытаюсь сам найти дыру, через которую на сайт проникает зараза, но пока безуспешно. Анализ исходного кода страниц не показывает никакого постороннего кода, подключаемые JS-скрипты тоже неизменны (хотя возможно я что-то недоглядел).
Тем не менее Яндекс ругается, значит какая-то кака все же присутствует. Помогает восстановление сайта из бекапа, но ненадолго — сначала Яндекс подтверждает, что на сайте уже нет вредоносного кода, но через какое-то время сайт снова заражается.

Такие вот нехорошие дела. Прошу помощи.

P.S.: В принципе, вопрос можно было решить массовой миграцией на Joomla 1.5 и затем на 2.5. Но, во-первых, это связано с очень большими трудозатратами (не всегда оправданными). И во-вторых (что еще важнее), это практически невозможно сделать с сохранением URL-ов, менять которые мне категорически не хочется в силу ряда причин.

P.P.S.: Уже много лет работаю исключительно в Linux, так что любые трояны/вирусы на моем локальном компьютере практически исключены.

Хм, я вообще-то писал сообщение в Joostina-разделе, но оно видимо автоматом (по ключевикам в теме) перенеслось в раздел безопасности. Впрочем, возможно так и лучше.

Это смотреть надо наверно специалистам. Там случаем на сайтах однойкнопки (сервис социальных закладок) не наблюдается? Накрайняк античат вроде давал за свою кнопку бесплатную проверку. Сайты на разных серверах?

Там случаем на сайтах однойкнопки (сервис социальных закладок) не наблюдается?

Нет, такого добра там нету.

Сайты на разных серверах?

Кстати да, все зараженные (и заражаемые после восстановления из бекапа) сайты находятся на одном сервере. Есть у меня еще несколько сайтов на Joostina у другого хостера, и они пока не подверглись воздействию этой пакости. Хотя у меня сомнения, что проблема в серевере. Думаете, все же может быть виноват хостер? Если да, то как это проверить?

А редакторы там не имеют уязвимостей?
Недавно прошло волна по JCE, в частности.

А редакторы там не имеют уязвимостей?
Недавно прошло волна по JCE, в частности.

JCE — это дефолтный редактор в Joostina, причем он там не обновлялся с незапамятных времен. Так что спасибо за наводку, это вполне может быть причиной. Это можно как-то проверить наверняка?
Буду счастлив, если проблема действительно в этом, поскольку решить ее очень просто. Если проблема действительно в JCE, я его просто поудаляю на всех сайтах (все равно использую только CodeMirror либо простой HTML-редактор).

Ну если основа до версии 2.0.10 JCE, то скорее всего через него. Вполне возможно там пачка шеллов и прочей дряни еще.

Ну если основа до версии 2.0.10 JCE, то скорее всего через него. Вполне возможно там пачка шеллов и прочей дряни еще.

В Joostina 1.3.0.5 установлен JCE 1.1.8-JE (от 24.02.2008), а в Joostina 1.1.3 вообще стоит JCE 1.1.6 (от 26.06.2007).

Теперь я пожалуй сделаю следующее:
1. Восстанавливаю все зараженные сайты из бекапа (на всякий случай, чтобы не осталось никаких хвостов).
2. Удаляю на всех Joostina-сайтах JCE (заодно пожалуй удалю старинный Spaw там где он имеется, чтобы вообще не осталось визуальных редакторов).
3. Выжидаю недельку-другую и отписываюсь здесь о результатах.

voland, wishlight, большое спасибо за помощь.
Если есть еще какие-то подсказки или комментарии по теме — с благодарностью их выслушаю.

Пароли от хостинга не забудьте сменить, и  тотал коммандере их не сохраняйте

Пароли от хостинга не забудьте сменить, и  тотал коммандере их не сохраняйте

«Тотал коммандер»? Не слышал о таком

P.P.S.: Уже много лет работаю исключительно в Linux, так что любые трояны/вирусы на моем локальном компьютере практически исключены.

Кстати да, все зараженные (и заражаемые после восстановления из бекапа) сайты находятся на одном сервере. Есть у меня еще несколько сайтов на Joostina у другого хостера, и они пока не подверглись воздействию этой пакости.

То, что все в одном месте вполне может быть связано с хостером. Бывали случаи. Так что пароли надо менять от хостинга и кстати от админов в сайтах.

Как и планировал, восстановил все зараженные сайты из бекапов и поудалял на них все визуальные редакторы.
Также на всякий случай сменил все пароли (хостинг, админка, FTP, БД).
Яндекс уже (по запросу) перепроверил сайты и не выявил на них потенциально опасного кода.
Скрестив пальцы, жду, пока пройдет достаточно времени. очень хочется верить, что проблема не повторится.

Скрестив пальцы, жду, пока пройдет достаточно времени. очень хочется верить, что проблема не повторится.

удачи в чистке 
совет если на сервере не один сайт и вы их чистите прямо на нем, то во время работы отключайте сервер с доступом только для чистки по IP, во многих случаях помогает, не получается так что заражают уже почищенное, это к тому что разворачивая чистые бэкапы и даже просто удаляя редактор, можно через соседний сайт уже получить заразу

Не помогло 
Опять получил «письмо счастья» от Яндекса по поводу одного из сайтов.
Похоже, визуальные редакторы здесь ни при чем (они уже удалены на всех сайтах).

ну если ломают через сайт, то первым делом нужно проверить на наличие шелов и смотреть логи доступа на предмет подозрительных запросов

Я не большой специалист по части безопасности.
Как проверить на наличие шелов?
Логи покопаю у хостера.

Похоже, визуальные редакторы здесь ни при чем (они уже удалены на всех сайтах).

их надо было раньше удалять, теперь только как горыныч написал, shell искать которые зарыли на сайтах

flyingspook, я не просто удалил редакторы, я перед тем восстановил одним махом из архива все сайты и базы данных у хостера.
Вопрос по нахождению shell лучше переадресовать Google, или сможете помочь?

восстановление бекапа хостера думаю не поможет если shell был залит скажем в январе

Вопрос по нахождению shell лучше переадресовать Google, или сможете помочь?

советом или направлением, чем помочь, мы сканерами ищем, и даже глазами(полностью честно смотрим наличие сторонних файлов где они не должны быть и плюс код файлов в j1.5 они все известны "как ночью танкисту где ключи от танка" куда могут shell вписать) думаю у вас скорей всего много файлов раскидано index.php по папкам с подключением или 3j5b88j6h.php(цифры и буквы беспорядочные в названии), ну а еще чем помочь даже не знаю, разве что все есть на форуме очень много тем написано

flyingspook, ок, благодарю за помощь, буду копать.

Ну где ключи от такого экзотического танка как Joostina наверное ТС лучше знает )

Ну где ключи от такого экзотического танка как Joostina наверное ТС лучше знает )

ну так и про то же 

Чудеса, да и только.
Я уже начинаю думать, что нету у меня никакого вируса, что это ложные срабатывания у Яндекса.
В пользу этого варианта говорят два факта, которые обнаружились за несколько последних дней.

Факт №1. Я сравнил каждый файл бекапа и текущего сайта, а также дампы БД (тоже из бекапа и текущий). Кстати говоря, делал это при помощи Meld, рекомендую.
Файлы абсолютно идентичны (!), никаких изменений во время так называемого «заражения» не произошло.

Факт №2. После того, как я получил уже упомянутое письмо от Яндекса по поводу потенциально опасного кода, мне пришло еще несколько писем от него же. Хронология такая:
12.07.2013 — На сайте обнаружен потенциально опасный код
13.07.2013 — Перепроверка сайта не выявила потенциально опасного кода
16.07.2013 — На сайте обнаружен потенциально опасный код
16.07.2013 — Перепроверка сайта не выявила потенциально опасного кода
При всем при этом я за эти несколько дней вообще ничего не делал на этом сайте.

Есть еще и третий факт — заинтересовавшись вопросом ложных срабатываний Яндекса, я начал гуглить по этому поводу и выяснил, что они бывают довольно часто.
Продолжаю пассивно наблюдать. На текущий момент в Яндекс.Вебмастере все сайты вроде как чисты. Если опять будут приходить сообщения о проблеме, попробую писать Платону письмо с просьбой уточнить, какая конкретно проблема выявлена на сайте. Опять же — нагуглил прецеденты, когда он в ответ на такие запросы явно указывал, где именно содержится вредоносный код.

@ZHart
Яндекс может срабатывать как ложно так и правильно
1 на сайтах может быть установлено дополнение к примеру одно из последних "одна кнопка" на неё срабатывал Яндекс, или любое другое то что подтягивает со стороннего сервера данные
2 на сервере может находится скрипт и запускаться записывая заразу по крону или по команде бота сейчас очень распространенная фишка

Яндекс ложно срабатывает - да ладно. Слышал раз 100 подобные заявления, но на практике они всегда были верны.
Теперь по проблеме - она есть, столкнулись с тем же.

Вредоносный код впихнут в js - зачастую jqwery.js

Чистка как бы спасает. Начинаешь думать, что Яндекс гонит, но на практике код с небольшой хитростью.
а) У него в зоне срабатывания только некоторые браузеры и Win7 и тем паче Linux по коду страницы его не поймаешь
б) Код "мигающий" ссылка на вредоносный сайт появляется на 43200 +/- секунд через такой же промежуток времени, что позволяет Яндексу всунуть сайт в зараженные, прибежать - изьять из оных и снова всунуть через день.

Т.к сервера подверженные заражению крутили на себе не только Joostina, варинат с "дырой" двигла постепенно отпал (после исключения редактора).

Единственное к чему пришли - причина в php. Joostina крутится на 5.2 - через дырки в нем и ломают. Пришлось перейти на 5.3, что повлекло за собой отказ работы многих сайтов на совсем старом ПО но пробелму пока исправило

Artes, спасибо большое за информацию.
Симптомы все сходятся. Проблема действительно «мигающая» — Яндекс постоянно то добавляет сайты в зараженные, то снова удаляет. С момента создания темы у меня таких миганий несколько десятков произошло (на нескольких сайтах суммарно). И php версии 5.2.17 у хостера крутится.

Вопрос в том, как лучше поступить в этой ситуации.
Даже если я уломаю хостера на замену php на 5.3 (что тоже может оказаться проблематичным, хостер довольно дрянной), то проблема не решится до конца. Сайты на Joostina 1.3 работают на php 5.3 (проверено у другого хостера), а вот сайты на Joostina 1.1.3 отвалятся я так понимаю при переходе на 5.3. А менять движок не хочется по описанным в первом сообщении причинам.
Другие решения есть, или это тупик?

А патч безопасности поставить на PHP 5.2 ?
http://centos.alt.ru/?p=571

Ребят ложка меда от меня, думаю Вы не дочистили сайты и смена РНР это не работающие устаревшие функции скриптов которые переписывают файлы.
имхо конечно могу ошибаться, мысль в слух из симптомов

Шелл можно поискать по ssh скриптом айболитом. В верхний каталог его и php ai-bolit.php . Так и не понял, сайты под разными пользователями работают?

Так и не понял, сайты под разными пользователями работают?

В моем случае — под одним.
За наводку на Айболит спасибо.
Меня смущает то, о чем уже писал выше — сравнение Meld-ом прошлогоднего бекапа с текущими (вроде как зараженными) файлами показывает, что они абсолютно идентичны.